Execute-Assembly(2)

最新推荐文章于 2024-05-20 10:06:58 发布
最新推荐文章于 2024-05-20 10:06:58 发布
阅读量619 收藏 18
点赞数 17
文章标签: 单片机 stm32 嵌入式硬件 网络 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80520893/article/details/137558693
版权

根据之前的Execute-Assembly的实现原理,可以预测到Execute-Assembly主要有3个检测点。第一个检测点是加载CLR环境,第二个检测点是加载程序集,第三个检测点在于执行入口点的地方。在我看来,第一第二个检测点是比较好实现的。

ETW使用前置知识

根据XPN在他的博文Hiding your .NET - ETW一文中指出利用ETW(Event Trace for Windows)检测CLR的加载。而ProcessHacker或者ProcessExplorer这两款工具都能从进程角度查看进程是否加载了CLR环境。

 使用logman query providers命令查看所有的提供者。如图,执行结果的第一项是提供者名称,第二项是提供者对应的GUID。

 也可以通过设置指定得provider name或者GUID来获取具体的提供者的详细信息。即使用logman query providers <provider name>或者logman query providers <GUID>

        通过执行logman query providers ".NET Common Language Runtime"语句返回的结果如下。除了具有第一部分提供程序的名称和GUID之外,第二部分是一些关键字的信息,也就是筛选事件的标志。通过设置这些标志来筛选我们所需要的事件。第三部分是安全级别,而第四部分对应的是事件对应的进程ID和进程路径。

PS C:\Users\14349> logman query providers ".NET Common Language Runtime"

提供程序                                 GUID
-------------------------------------------------------------------------------
.NET Common Language Runtime             {E13C0D23-CCBC-4E12-931B-D9CC2EEE27E4}

值                   关键字                  描述
-------------------------------------------------------------------------------
0x0000000000000001  GCKeyword            GC
0x0000000000000002  GCHandleKeyword      GCHandle
0x0000000000000004  FusionKeyword        Binder
0x0000000000000008  LoaderKeyword        Loader
0x0000000000000010  JitKeyword           Jit
0x0000000000000020  NGenKeyword          NGen
0x0000000000000040  StartEnumerationKeyword StartEnumeration
0x0000000000000080  EndEnumerationKeyword StopEnumeration
0x0000000000000400  SecurityKeyword      Security
0x0000000000000800  AppDomainResourceManagementKeyword AppDomainResourceManagement
0x0000000000001000  JitTracingKeyword    JitTracing
0x0000000000002000  InteropKeyword       Interop
0x0000000000004000  ContentionKeyword    Contention
0x0000000000008000  ExceptionKeyword     Exception
0x0000000000010000  ThreadingKeyword     Threading
0x0000000000020000  JittedMethodILToNativeMapKeyword JittedMethodILToNativeMap
0x0000000000040000  OverrideAndSuppressNGenEventsKeyword OverrideAndSuppressNGenEvents
0x0000000000080000  TypeKeyword          Type
0x0000000000100000  GCHeapDumpKeyword    GCHeapDump
0x0000000000200000  GCSampledObjectAllocationHighKeyword GCSampledObjectAllocationHigh
0x0000000000400000  GCHeapSurvivalAndMovementKeyword GCHeapSurvivalAndMovement
0x0000000000800000  GCHeapCollectKeyword GCHeapCollect
0x0000000001000000  GCHeapAndTypeNamesKeyword GCHeapAndTypeNames
0x0000000002000000  GCSampledObjectAllocationLowKeyword GCSampledObjectAllocationLow
0x0000000020000000  PerfTrackKeyword     PerfTrack
0x0000000040000000  StackKeyword         Stack
0x0000000080000000  ThreadTransferKeyword ThreadTransfer
0x0000000100000000  DebuggerKeyword      Debugger
0x0000000200000000  MonitoringKeyword    Monitoring

值                   级别                   描述
-------------------------------------------------------------------------------
0x00                win:LogAlways        Log Always
0x02                win:Error            Error
0x04                win:Informational    Information
0x05                win:Verbose          Verbose

PID                 映像
-------------------------------------------------------------------------------
0x000035a8          C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
0x000022dc          F:\users\MPic 2.2.1.3\MPic.exe
0x000033c8          F:\users\markdownpad2-portable\MarkdownPad2.exe
0x00001b3c          C:\Program Files\CONEXANT\SAII\SmartAudio.exe
0x00001818
0x00000e34


命令成功结束。

 XPN在他的博文Hiding your .NET - ETW中,也给出了验证测试代码,代码的功能简而言之就是通过ETW实时的捕获.NET Common Language Runtime提供者的AssemblyDCStart_V1事件。但是这个验证代码有一个缺陷就是,只有当Assembly Loader进程退出后才能捕获对应的AssemblyDCStart_V1事件。但是,这对我来说是致命的。所以我尝试使用krabsetw库来实现。

#define AssemblyDCStart_V1 155
#define LoaderKeyword 0x08

#include <windows.h>
#include <stdio.h>
#include <wbemidl.h>
#include <wmistr.h>
#include <evntrace.h>
#include <Evntcons.h>

static GUID ClrRuntimeProviderGuid = { 0xe13c0d23, 0xccbc, 0x4e12, { 0x93, 0x1b, 0xd9, 0xcc, 0x2e, 0xee, 0x27, 0xe4 } };

// Can be stopped with 'logman stop "dotnet trace" -etw'
const char name[] = "dotnet trace\0";

#pragma pack(1)
typedef struct _AssemblyLoadUnloadRundown_V1
{
    ULONG64 AssemblyID;
    ULONG64 AppDomainID;
    ULONG64 BindingID;
    ULONG AssemblyFlags;
    WCHAR FullyQualifiedAssemblyName[1];
} AssemblyLoadUnloadRundown_V1, *PAssemblyLoadUnloadRundown_V1;
#pragma pack()

static void NTAPI ProcessEvent(PEVENT_RECORD EventRecord) {

    PEVENT_HEADER eventHeader = &EventRecord->EventHeader;
    PEVENT_DESCRIPTOR eventDescriptor = &eventHeader->EventDescriptor;
    AssemblyLoadUnloadRundown_V1* assemblyUserData;

    switch (eventDescriptor->Id) {
        case AssemblyDCStart_V1:
            assemblyUserData = (AssemblyLoadUnloadRundown_V1*)EventRecord->UserData;
            wprintf(L"[%d] - Assembly: %s\n", eventHeader->ProcessId, assemblyUserData->FullyQualifiedAssemblyName);
            break;
    }
}

int main(void)
{
    TRACEHANDLE hTrace = 0;
    ULONG result, bufferSize;
    EVENT_TRACE_LOGFILEA trace;
    EVENT_TRACE_PROPERTIES *traceProp;

    printf("ETW .NET Trace example - @_xpn_\n\n");

    memset(&trace, 0, sizeof(EVENT_TRACE_LOGFILEA));
    trace.ProcessTraceMode    = PROCESS_TRACE_MODE_REAL_TIME | PROCESS_TRACE_MODE_EVENT_RECORD;
    trace.LoggerName          = (LPSTR)name;
    trace.EventRecordCallback = (PEVENT_RECORD_CALLBACK)ProcessEvent;

    bufferSize = sizeof(EVENT_TRACE_PROPERTIES) + sizeof(name) + sizeof(WCHAR);

    traceProp = (EVENT_TRACE_PROPERTIES*)LocalAlloc(LPTR, bufferSize);
    traceProp->Wnode.BufferSize    = bufferSize;
    traceProp->Wnode.ClientContext = 2;
    traceProp->Wnode.Flags         = WNODE_FLAG_TRACED_GUID;
    traceProp->LogFileMode         = EVENT_TRACE_REAL_TIME_MODE | EVENT_TRACE_USE_PAGED_MEMORY;
    traceProp->LogFileNameOffset   = 0;
    traceProp->LoggerNameOffset    = sizeof(EVENT_TRACE_PROPERTIES);

    if ((result = StartTraceA(&hTrace, (LPCSTR)name, traceProp)) != ERROR_SUCCESS) {
        printf("[!] Error starting trace: %d\n", result);
        return 1;
    }

    if ((result = EnableTraceEx(
        &ClrRuntimeProviderGuid,
        NULL,
        hTrace,
        1,
        TRACE_LEVEL_VERBOSE,
        LoaderKeyword
        0,
        0,
        NULL
    )) != ERROR_SUCCESS) {
        printf("[!] Error EnableTraceEx\n");
        return 2;
    }

    hTrace = OpenTrace(&trace);
    if (hTrace == INVALID_PROCESSTRACE_HANDLE) {
        printf("[!] Error OpenTrace\n");
        return 3;
    }

    result = ProcessTrace(&hTrace, 1, NULL, NULL);
    if (result != ERROR_SUCCESS) {
        printf("[!] Error ProcessTrace\n");
        return 4;
    }

    return 0;
}

krabsetw安装与使用

        krabsetw是微软开发的一个C++库,其主要目的在于简化ETW的交互。krabsetw目前只支持x64的操作系统,而且编译环境最好是VS2017及以上。

        本文也并不使用推荐的NuGet安装krabsetw。而是使用vcpkg进行包管理。具体的关于NuGet的使用可以参考这篇文章。

         当编译完成vcpkg.exe之后,使用.\vcpkg.exe list查看已经安装的开源库,然后使用.\vcpkg.exe install krabsetw:x64-windows安装krabsetw库。并且一定要将项目的预处理器设置为UNICODE。至于NDEBUGTYPEASSERT任选其一进行设置。这是krabsetw项目所规定的。具体参见项目说明:https://github.com/microsoft/krabsetw/blob/master/krabs/README.md

        使用krabsetw捕获CLR加载事件代码如下,具体的使用例子可以参考krabsetw例子说明。值得注意的是这个设置的关键字我设置的是MonitoringKeyword是可以实时监控的。而不是设置LoaderKeyword

#define MonitoringKeyword 0x0000000200000000  
void DetectByETW()
{
 //回调函数
 auto assembly_callback = [](const EVENT_RECORD& record, const krabs::trace_context& trace_context)
 {
  
  krabs::schema schema(record, trace_context.schema_locator);
  krabs::parser parser(schema);
  pids.push_back(record.EventHeader.ProcessId);
  //获取ProcessId
  DWORD dwPid = record.EventHeader.ProcessId;
  WCHAR szExeFile[MAX_PATH] = { 0 };
  DWORD dwSize = MAX_PATH;
  HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, dwPid);
  QueryFullProcessImageNameW(hProcess, 0, szExeFile, &dwSize);
  //检测内存信息
  BOOL bIsExecuteAssembly = DetectByMemory(hProcess);
  if (bIsExecuteAssembly == TRUE)
  {
   SetConsoleColor(FOREGROUND_RED | FOREGROUND_INTENSITY | BACKGROUND_BLUE);
   printf("[%d] : %ls is execute-Assembly(.Net Load Memory)\n", dwPid, szExeFile);
   SetConsoleColor(FOREGROUND_RED | FOREGROUND_GREEN | FOREGROUND_BLUE);
  }
  else
  {
   printf("[%d] : %ls\n", dwPid, szExeFile);
  }
  return TRUE;

 };
 
 //设置跟踪会话
 krabs::user_trace trace(L"Assembly Load Monitor");
 
 //设置Provider
 krabs::provider<> dotnet_rundown_provider(L".NET Common Language Runtime");  //L".NET Common Language Runtime"
 
 //设置筛选事件关键字,逻辑为any模式
 dotnet_rundown_provider.any(MonitoringKeyword);
 
 //设置回调函数
 dotnet_rundown_provider.add_on_event_callback(assembly_callback);

 //开始
 trace.enable(dotnet_rundown_provider);
 trace.start();

}

加载程序集

        第二个检测点位于加载程序集之后。在memcpy处打一个断点。

   并在memcpy函数执行之后的目的地址下一个执行断点,并执行。这一步是为了定位需要加载的程序集在Assembly Loader进程中的位置。因为Assembly内存加载,程序集必然在进程的内存空间中。只是需要定位在哪里?且那块内存的内存属性和类型。

可以看到程序集保存在内存类型为MEM_COMMITMEM_PRIVATE以及保护类型为PAGE_READWRITE的内存块

  整个扫描逻辑就很简单了,只需要调用VirtualQueryEx获取内存信息,只需要选择内存类型为MEM_COMMITMEM_PRIVATE以及保护类型为PAGE_READWRITE的内存块。然后扫描PE头信息即可。

BOOL DetectByMemory(HANDLE hProcess)
{
 UCHAR SignMemory[] = { 0x54,0x68,0x69,0x73,0x20,0x70,0x72,0x6F,0x67,0x72,0x61,0x6D,0x20,0x63,0x61,0x6E,0x6E,0x6F,0x74,0x20,0x62,0x65,0x20,0x72,0x75,0x6E,0x20,0x69,0x6E,0x20,0x44,0x4F,0x53,0x20,0x6D,0x6F,0x64,0x65 };
 BOOL bIsExecuteFile = FALSE;
 if (NULL == hProcess)
  return bIsExecuteFile;
 SYSTEM_INFO sysInfo = { 0 };
 GetSystemInfo(&sysInfo);
 MEMORY_BASIC_INFORMATION pMemInfo = { 0 };
 DWORD dwErrorCode;

 for (DWORD64 MemoryAddress = (DWORD64)sysInfo.lpMinimumApplicationAddress; MemoryAddress < (DWORD64)0x700000000000; MemoryAddress += pMemInfo.RegionSize) //0x7ff4e85d0000   0x70000000
 {
  if (bIsExecuteFile == TRUE)
   break;
  if (VirtualQueryEx(hProcess, (LPVOID)MemoryAddress, &pMemInfo, sizeof(MEMORY_BASIC_INFORMATION)) == 0)
   break;

  if ((pMemInfo.Type == MEM_COMMIT || pMemInfo.Type == MEM_PRIVATE) && pMemInfo.Protect == PAGE_READWRITE) //
  {
   PVOID pMemoryBuffer = malloc(pMemInfo.RegionSize + 1);
   memset(pMemoryBuffer, 0, pMemInfo.RegionSize + 1);
   SIZE_T dwReturnNumber = 0;
   if (ReadProcessMemory(hProcess, pMemInfo.BaseAddress, pMemoryBuffer, pMemInfo.RegionSize, &dwReturnNumber) == FALSE)
   {
    printf("[!] ReadProcessMemory Failed\n");
    free(pMemoryBuffer);
    pMemoryBuffer = NULL;
    continue;
   }
   for (DWORD64 dwIndex = 0; dwIndex < pMemInfo.RegionSize + 1; dwIndex++)
   {
    if ((memcmp((PVOID)((DWORD64)pMemoryBuffer + dwIndex), SignMemory, sizeof(SignMemory)) == 0) &&
     (memcmp((PVOID)((DWORD64)pMemoryBuffer + dwIndex - 0x4E), "MZ", 2) == 0))
    {
     bIsExecuteFile = TRUE;
     break;
    }
   }
   free(pMemoryBuffer);
   pMemoryBuffer = NULL;
  }
 }

 return bIsExecuteFile;

}

网安星星
关注
【CS学习笔记】10、如何管理Payload载荷
TeamsSix 的 CSDN 空间
06-27 1007
0x00 前言 到目前为止,已经学过了如何在有漏洞的目标上获取立足点的方法,接下来将继续学习后渗透相关的知识,这一节就来学习学习 beacon 的管理、会话传递等。 0x01 Beacon 的管理 Beacon 控制台 在一个 Beacon 会话上右击 interact(交互)即可打开 Beacon 控制台,如果想对多个会话进行控制,也只需选中多个会话,执行相关功能即可。 在 Beacon 的控制台中的输入与输出之间,是一个状态栏,状态栏上的信息分别是:目标 NetBIOS 名称、用户名、会话PID以及
[ERROR] Failed to execute goal org.apache.maven.plugins:maven-assembly-plugin:2.4:single (make-assem...
dg9633的博客
04-30 2826
自己在使用maven进行package操作时出现 [ERROR] Failed to execute goal org.apache.maven.plugins:maven-assembly-plugin:2.4:single (make-assembly) on project hive-udf: Error reading assemblies: No assembly descri...
内网渗透神器CobaltStrike之execute-assembly(十三)
xf555er的博客
08-21 1143
"execute-assembly"是Cobalt Strike的一项功能,它允许你在Cobalt Strike的Beacon控制的目标机器上直接执行.NET程序集(Assembly)。具体来说,这个功能通过在目标机器的内存中加载.NET程序集并执行它,而不需要将程序集写入到磁盘。这种在内存中执行程序的方法也被称为"文件无(fileless)"攻击,因为它能避免在磁盘上留下可疑的文件,从而绕过某些基于文件扫描的防御手段。
Execute-Assembly(1)
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
04-10 316
在odzhan的Shellcode: Loading .NET Assemblies From Memory所描述的那样,.Net Framework随着版本的更新,使用了不同的接口,.Net Framework V1.0 采用的是。然后到了.Net Framework v4.0,则使用了。,但是可能不再兼容4.0以下的.Net Framework。我们可以使用多个函数进行接口的实例化,最常见的可能属。1 加载CLR环境 2 获取程序域 3 装载程序集 4 执行程序集。并不是一个非常合适的接口。
Execute-Assembly(3)
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
04-12 405
绕过前面检测的最简单的思路就是Patch ETW。而我想的是使用BOF进行Bypass ETW 以及Assembly加载。BOF主要需要实现两个点,第一实现ByPass ETW,第二需要实现Assembly加载。在官方的文档Beacon Object Files中,详细描写了怎么使用CNA和BOF。参数$1表示的是当前会话的ID。Alias的参数有3个。表示会话ID,第二个参数是传入参数的类型,参数类型如下。从第三个参数就是传入的参数。第三个参数是入口点函数。$0 是我们起的别名和传输的参数。
探索ExecuteAssembly:强大的.NET程序注入工具
最新发布
gitblog_00032的博客
05-20 353
探索ExecuteAssembly:强大的.NET程序注入工具 去发现同类优质开源项目:https://gitcode.com/ 项目简介 ExecuteAssembly是一个创新的开源项目,由C/C++编写,为安全研究者和开发者提供了一种替代CS执行汇编的方法。这个工具能加载并注入.NET程序集,通过一系列高级技术来绕过防护机制,包括重新使用主机进程的CLR模块、删除与.NET相关的模块链接、避...
C#程序集Assembly
james_zgw的专栏
08-13 543
一、Assembly 1.创建一个应用程序域application domain AppDomain d = AppDomain.CreateDomain("MyDomain"); Console.WriteLine(AppDomain.CurrentDomain.Frie
Maven 使用maven-assembly-plugin 打包
RZ_1107的专栏
04-01 434
@Maven 使用maven-assembly-plugin 打包 Maven 使用maven-assembly-plugin 打包问题 Failed to execute goal org.apache.maven.plugins:maven-assembly-plugin:2.2-beta-5:single (default) on project Failed to create assembly: Failed to resolve dependencies for project: 解决法 升级
fakelogonscreen:伪造的Windows登录屏幕可窃取密码
02-06
它可以通过简单地运行.exe文件或使用例如Cobalt Strike的execute-assembly命令来execute-assembly 。 可从“页面获得二进制文件。 FakeLogonScreen.exe:将输出写入控制台,例如与Cobalt Strike兼容 ...
maven-assembly-plugin 的includeBaseDirectory研究
weixin_33970449的博客
11-09 2383
需求: 这个问题一度困扰了我好几个小时,我一开始使用maven-assembly-plugin构建tar分发包的时候,发现每次最终打包,都会在最外层有个包装层,比如我要构建的tar分发包的artifactId为abc ,那么最终打包完的tar文件总是内含abc目录,然后才是其他子目录sub1,sub2。而我们所希望的是当untar时候,能够直接出来...
ETW的攻与防
hongduilanjun的博客
09-14 2986
ETW全称为,即windows事件跟踪,它是Windows提供的原生的事件跟踪日志系统。由于采用内核层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案,本文基于ETW探究其攻与防的实现。
.net core 调用c dll_从内存加载.NET程序集(Assembly.Load)的利用分析
weixin_39954908的博客
11-23 1468
0x00 前言在之前的文章《从内存加载.NET程序集(execute-assembly)的利用分析》介绍了"execute-assembly"的实现方法和利用思路,能够从内存中加载.NET程序集。这个功能不需要向硬盘写入文件,十分隐蔽。与此相似的方法还有一个是Assembly.Load,同样能够从内存中加载.NET程序集。本文将会结合三个开源工程,介绍Assembly.Load的实现方...
CobaltStrike插件开发-learning-day4
问题很多的小明
03-19 930
CobaltStrike插件的场景 执行系统命令 bshell($1,"whoami"); $1为当前beacon的id 具体弹框出来看一下:show_message($1) 每个会话都是随机的 模拟一个简单的场景,实现上线用户信息的查看,code如下,注意以下三种写法都可 sub showuser { show_message($1); bshell($1, "query user"); } popup beacon_bottom { menu "查看用户信息"{
未能加载文件或程序集microsoft.directx_Cobalt Strike无落地文件执行任意程序
weixin_39629093的博客
12-17 1074
from:https://iwantmore.pizza/posts/PEzor2.htmlCobalt Strike的execute-assembly可以使我们无文件即可运行.NET程序集。但是,如果我们能够同样轻松的执行任意可执行文件,那会不会很好呢?PEzor v2新的输出形式与Cobalt Strike集成。execute-assembly使攻击者无落地文件运行.NET程序集深深...
如何卸载microsoft .net framework 4_从内存加载.NET程序集(executeassembly)的利用分析
weixin_39823676的博客
12-03 561
0x00 前言Cobalt Strike 3.11中,加入了一个名为"execute-assembly"的命令,能够从内存中加载.NET程序集。这个功能不需要向硬盘写入文件,十分隐蔽,而且现有的Powershell利用脚本能够很容易的转换为C#代码,十分方便。本文将会对"execute-assembly"的原理进行介绍,结合多个开源代码,介绍实现方法,分析利用思路,最后给出防御建议。0x...
AppDomain . ExecuteAssemblyExecuteAssemblyByName方法使用
weixin_34220179的博客
10-10 139
AppDomain oDownLoadDoMain = AppDomain.CreateDomain("DownLoadDoMain", null); 利用下面的方法回报错:oDownLoadDoMain.ExecuteAssembly("SmApp.ProgramUpdate.exe");错误信息:“An unhandled exception of type 'System.IO.FileN...
列出.NET程序所依赖的Assembly
Donjuan的专栏
02-16 2934
有的时候你可能会碰到.NET程序在发布机上不能启动的问题,.NET程序告诉你有的Assembly不能加载,你想看看.NET程序到底依赖于哪些Assembly的话,可以试一下下面的程序(注意:你只能在可以执行这个.NET程序的机器上运行下面的程序):1. using System;2. using System.Collections.Generic;3. using S
Failed to execute goal org.apache.maven.plugins:maven-assembly-plugin:2.2-beta-5:single (default-cli) on project rcs: Error reading assemblies: No assembly descriptors found.
06-13
在使用 maven-assembly-plugin 时,必须在项目的 pom.xml 文件中配置相应的描述符,才能生成期望的装配包。如果您没有提供描述符,那么您需要提供一个默认的描述符。 您可以通过在 pom.xml 文件中添加以下配置来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值